这个D (这个大佬画风不对)
语音播放文章内容
由深声科技提供技术支持
随着网络空间的规模和行动不断扩大,其与日常生活日益交织。往往在网络空间一起微小的安全事件可能带来一连串“蝴蝶效应”,譬如去年全球最大的半导体代工制造商台积电工厂意外“中毒”,造成工厂停工不说还连累了要发新品的苹果,三天亏了10亿。而这次煽动翅膀的是D-Link产品的一个漏洞。
这个D-Link 不愿修复的高危漏洞
2019年9月,集成自动化网络安全解决方案商Fortinet 的 FortiGuard Labs 发现并向官方反馈了 D-Link 产品中存在的一个未授权命令注入漏洞(FG-VD-19-117/CVE-2019-16920)。攻击者可以利用该漏洞在设备上实现远程代码执行(RCE),且无需通过身份认证。该漏洞被标记为高危级别漏洞。
在 Fortinet 的报告中,受此漏洞影响的设备型号有 DIR-655C、DIR-866L、DIR-652 和 DHP-1565。
遗憾的是,D-Link 表示这些产品已超出服务周期(EOL),厂商不会再为该问题提供补丁,换句话说,D-Link不愿为这些产品修复这个补丁。
被严重低估的影响面
然而不久前,360安全研究院团队对该漏洞进行了深入分析,提炼出漏洞识别模式后,通过自研的 FirmwareTotal 对全网二十多万的固件进行全面扫描后,发现这个D-Link不愿修复的高危漏洞,影响面被严重低估了!
发现众多疑似受漏洞影响的设备固件后,FirmwareTotal还能够进一步批量动态模拟固件、自动化执行漏洞验证POC,最终确认漏洞的存在:
最终经过360安全研究院团队验证,该漏洞背后的真相是,13个 D-Link 不同型号中的58个版本固件,都存在该漏洞。
在确认该安全问题后,360安全研究院团队第一时间通报了厂商。日前D-Link已在安全通报中更新了漏洞影响范围()。
这不是第一个,也不会是最后一个
类似D-Link这样的事件,不是第一个,也不会是最后一个。
过去,360安全研究院团队基于大规模固件数据做了很多的分析工作,发现第三方组件重复使用的问题在固件开发过程中非常普遍。
就如下图所示,一个第三方的库,常常被上千个固件所使用。这意味着一旦该库文件出现安全问题,将会影响成千上万的固件和相关设备。比如 openssl 的心脏滴血漏洞、 Busybox 的安全漏洞等。
大多数厂商都在他们的不同产品里共用类似的供应链代码,包括在已结束生命周期的老设备和刚发布的新设备里,往往也使用着相似的代码库。
当安全问题出现时,如果只看到老设备已停止支持,就停止脚步,而不去进一步探究新设备是否还在使用这些代码库,将会带来许多安全风险。
特别是在路由器产品之外的领域,比如自动驾驶汽车、智能医疗设备、关键基础设施设备、工业控制设备等,一旦被黑客抢先一步发现类似的潜在缺陷,将会对正在运行中的大量关键设备造成重大威胁。
在上图中是 2019 年 Busybox1.30.0 及之前版本存在的漏洞,包括 CVE-2019-5747和 CVE-2019-20679 等。有非常多的固件使用了Busybox组件,并且大部分使用的都是1.30.0之前的版本。经过360安全研究院团队从数万个固件样本中统计,96%的固件都使用了1.30.0之前的版本。
这会导致各种类型的设备都受其影响,包括与GE医疗心电图分析系统密切相关的串口设备服务器、智能楼宇的自动化控制系统设备、工控系统中的RTU控制器以及工业安全路由器等。
这本质上是一个信息不对称带来的重大安全威胁问题,通过FirmwareTotal则可以为厂商提供一种“看见的能力”,消除信息不对称,以及解决其带来的潜在威胁问题。
版权文章,未经授权禁止转载。详情见 转载须知 。
上海黑汀奥悠工业设备有限公司,拥有德国热油炉领域翘楚HTT知名品牌的官方授权与支持,专注HTT,导热油炉,导热油加热器,有机热载体锅炉,有机热载体加热器等。
LOL网址导航网是专业的上网导航网站,精心收录各类优质热门网站信息,同时提供天气、快递、违章等各种生活便民查询工具网址,为您提供安全便捷的上网导航服务,现已被众多网友设为上网主页,网址导航大全首选LOL网址导航.
山东辰洋自动化有限公司是以工业自动化系统及工业节能系统为主要方向的,集研发、集成与销售为一体的综合性自动化公司。
爱站网域名拦截检测可以给用户提供全面的批量域名拦截诊断,其中包含微信拦截检测、QQ拦截检测、360拦截检测、域名被墙和是否被污染的情况诊断,确保您的域名和网站的安全。
洛阳市柿王醋业有限公司以生产柿子醋,柿子醋饮料及柿子醋口服液,柿子茶等十余种产品,年产量达到80万吨。生产的“柿王”牌柿子醋系列产品,2018年被确定为河南省农业产业化龙头企业。
产品包括:汽车电瓶,汽车配件,汽车音响。公司的研发人员在吸收世界先进技术的基础上将科学技术知识应用的实际设计中,生产出了极具竞争力的产品。公司秉承顾客至上,锐意进取的经营理念,坚持客户第一的原则为广大客户提供优质的服务。在经济全球化的今天,将不断提升自我,打造完美诚信企业。 公司始终坚持科技领先,
东台市华能输送机械制造有限公司是输送设备的专业制造企业,是刮板输送机厂家.主要产品有污泥刮板输送机,水平刮板输送机,刮板输送机,螺旋输送机,斗式提升机,皮带输送机,管链输送机,料仓,各种配套链条等.是您理想的输送设备制造商!
NAK80一般指NAK80模具钢。NAK80模具钢是一种预硬塑胶模具钢,是日本大同制钢株式会社钢。广泛应用于注塑模具制造。它以优异的耐磨性、耐腐蚀性和良好的热稳定性而著称。被广泛应用于多种模具制造领域。
智数大康,您的家庭安全与健康的守护者。我们专注于提供全方位的家庭安全与健康监测服务,包括老人监护、幼儿看护、生命体征实时监测、心率、血压、血糖等多维度健康数据监测。通过智能家居设备和云服务,我们实现远程监控,确保您和家人的安全与健康。无论是紧急求助、摔倒报警,还是门窗安全、火灾预警等,我们都为您提供即时、准确的响应。 我们利用人工智能和大数据分析,为您提供个性化的健康管理建议,包括健康饮食、运动计划、心理健康服务等。同时,我们还提供定制化服务,满足您和家人的不同需求。通过智能手环、智能床垫等设备,我们追踪和记录家人的健康数据,为您提供全面的健康档案和健康趋势分析。 智数大康致力于构建一个健康、安全的家庭环境,我们提供家庭健康保险、在线问诊、家庭医生咨询等服务,为您和家人的健康保驾护航。我们的家庭健康管理系统,让您随时了解家人的健康状况,实现家庭健康互助和档案共享。 选择智数大康,选择健康与安心。让我们一起,迈向更健康、更安全的家庭生活!
宁津县和利机械有限公司专注于输送行业和传动行业的发展。主要产品输送机链板、链条输送机、不锈钢链板等。欢迎新老顾客来电咨询。
全球购骑士卡办理申请条件、骑士卡查询进度、怎么使用、有多少额度等。全球购骑士卡汇聚国外免税店、奥特莱斯、大型商场超市等优惠折扣信息,全场低至4折起。更能享受国外私人导购、优先退税、机场VIP休息室、满额赠礼等等。
东莞市都翔五金制品有限公司
很多人小时候的梦想都是成为宇航员探索太空,在太空中驾驶着飞行器自由穿梭,浩瀚的太空对玩家来说很有诱惑力,不少手机游戏里都有太空的背景,那么有趣的太空行动的游戏有哪些?今天小编就推荐五款太空主题的手机游戏给大家,这些手游中的太空环境全都挺逼真的,喜欢探索太空的玩家不要错过,1、,太空行动,太空行动是款有着狼人杀玩法的科幻类推理解谜游戏,...。
移动平台存在许多四人联机的热门竞技类游戏,支持四人匹配的竞技、冒险玩法非常有代入感,有许多社恐玩家也在这些多人联机游戏中结识了不少朋友,那么四个人玩什么游戏比较好,本文推荐的四人联机类手游都具有一定的刺激性,独特的竞技机制和快速的匹配速度也是这些佳作的亮点,1、,大作战联机版,这款支持线上联机的对弈游戏可以支持四人匹配,每一位玩家都有...。
一些玩家非常爱玩合成类的手游,在游戏中可以将很多东西合成在一起,这种游戏玩起来休闲又解压,那么受欢迎的几个合成一个的游戏叫什么?合成游戏玩起来超级容易上手,小白玩家也能在几分钟之内学会怎么玩合成游戏,快来下载下文这些合成游戏吧,1、,球球英雄,球球英雄是款可以合成球球的小游戏,这款游戏有着塔防类的玩法,玩家要控制自己的球球部队抵御敌人...。
今日头条腾讯定性此前微信QQ故障为一级事故,多位高管遭处罚4月10日消息,此前3月29日凌晨,腾讯旗下的微信和QQ等业务曾出现崩溃状况,包括微信语音对话、朋友圈、微信支付,以及QQ文件传输、QQ空间和QQ邮箱在内的多个功能无法使用,虽然该故障在当天稍晚时候就被修复,且微信此前也出现过几次大小故障,但腾讯仍然对本次事故开出了堪称严厉的处...。
丽江以旅游著称,在大数据时代,任何一个产业都需要与大数据结合,共促共进,丽江也不例外,近日,云南省丽江规划展览馆大数据中心正式落成,7台松下激光光源投影机PT,FRZ570C见证了项目的精彩!作为丽江规划展览馆大数据中心的主要展项,由松下工程投影机打造的沉浸式展厅采用了三折幕方式营造沉浸式视听感受,为观赏者展示丽江近期和未来的发展方向...。
风电行业未来肯定是走上坡路的,特别在现在全球变暖的大环境下,使用风电清洁能源也是未来的大势所趋,而且我国政府在政策层面大力推动风电发展,同时持续推进电力市场化改革,并将解决弃风限电问题当做下一阶段重点解决的问题,风电行业在我国发展如何,风力发电是指风力发电机将风能直接转化为电能的发电方式,在风能的各种用途中,风力发电是风能利用的主要形...。
关于开瑞绿卡S与开瑞绿卡T的性能差异,让咱们经过以下几个主要点启动详细的比拟,首先,定位差异,<,开瑞绿卡S定位为上流产品,而绿卡T则是中端选项,它们各自具有共同的个性与好处,选用哪一款需依据你的业务需求来定,假设你谋求出色的驾驶体验并且情愿接受更高的多少钱,绿卡S<,会是现实之选,它搭载了美国康明斯发起机,装备倒...。
360清算巨匠win10版是由360推出的一款简化版清算软件,有些新用户不知道怎样用该软件提升电脑,接上去小编就给大家引见一下详细的操作步骤,详细如下,1.首先第一步关上电脑中的,360清算巨匠Windows10,,依据下图所示,点击,极速扫描,选项,2.第二步依据下图所示,正在扫描开机可减速项、软件可减速项等等,3.第三步期待扫描完...。
公众速腾2021款是一款紧凑型车,官网指点价为元,元,以顶配2021款280TSIDSG出色版为例,其官网指点价为元,目前在辽阳市没有活动,速腾2021款是一款公众旗下的紧凑型车,官网指点价为元,元,在落地价方面,200TSIDSG逾越版的官网指点价为元,目前珠海市的最低报价为元,比官网指点价活动了元,置办税和车船税等必要破费元,再加...。
恰逢夏末秋初之际,在波涛浩大的太湖湖畔,有一位集齐最新技术成绩于一体,充溢现代科技感的,大家伙,终于在万众注目中和大家见面,9月12日,全国首个铝基轻量化的首款电动SUV——奇瑞舒享家正式上市,新车领有412km和512km两种续航里程,共有6个版本,指点价区间为12.99万元,16.99万元,同时奇瑞还为用户预备了舒享六大永恒收费、...。
91手机助手电脑版是网龙为了加强用户体验开发的全新客户端,首次全面支持多种智能手机系统,采用了统一的手机驱动体系结构和安装程序,一款软件即可同时管理iPhone、Android、WindowsMobile、S60四个平台的手机。快来免费体验官方最新版吧!91手机助手官方介绍91手
就在近日,微软正式推出了win11安卓子系统,很多朋友并不知道win11安卓子系统怎么安装,下面小编就给大家带来了《win11安卓子系统》安装教程,一起看一看吧!win11安卓子系统安装教程1、得到微软win11安卓子系统软件包,如下图:2
一年前,苹果在万众瞩目下推出了移动支付系统ApplePay,这款全新的支付平台允许iPhone6,iPhone6Plus以及AppleWatch用户在美国和英国的零售店内轻松完成支付,消费者再也不用从钱包里掏出信用卡刷卡买单了,他们只需把兼容ApplePay的iOS设备放到支付终端上,交易就能瞬间搞定,相应的钱款也会从挂靠AppleP...。
GoogleI,O开发者大会去年因为疫情而取消,今年采取线上形式强势回归,在没有开发者在场的Google园区内,GoogleCEO桑达尔·皮查伊,SundarPichai,宣布推出多项全新技术,除了能够帮助用户实现,空间瞬移,的全息视频聊天技术ProjectStarling让人耳目一新,还有最新一代AI芯片TPUv4,这是我们在Go...。
本次业绩预告是公司财务部门初步测算的结果,具体财务数据将在2023年年度报告中详细披露,公司将严格依照有关法律法规的规定和要求,及时做好信息披露工作,敬请广大投资者谨慎决策,注意投资风险,2023年度业绩预计情况△注,本报告期公司处置了对浙江零跑科技股份有限公司持有的7.88%股份,综合考虑处置价款、长期股权投资账面价值、持有期间累计...。
发表在其它家用投影仪品牌2019,2,1620,39不知道大家有没有注意到春晚深圳分会场后面的激光显示技术,这是光峰带给我们的视觉盛宴,其实像这种激光显示技术在很多的场景都有运用,最简单的就是激光投影仪,下面我们来一起来了解一下激光显示技术,深圳分会场,天地为幕,城市为台,43座楼宇光影变幻,667米超高炫酷节目单,5885平方屏幕视...。
杰赛S65破解这里提供两个方法,建议大家先测试方法一,不行再测试方法二!杰赛S65破解方法一,最新联通杰赛S65免拆破解安装第三方软件教程分享,该方法不会影响原联通自带的内容,只是在原基础上加强安装应用,放心使用~1、准备工具最新ADB密码计算器下载,http,cdn.tvapk.com,zndsrom,app,zikaikeji...。
